防火墙实验步骤及要点.doc

目录 1.SNAT配置 2 2.DNAT配置 4 3.SNAT配置 5 4.透明模式配置 6 5.混合模式配置 7 6.Dhcp的配置 8 7.Dns代理设置 9 8.Ddns配置 10 9.Web认证 11 10.负载均衡配置 12 11.源路由配置 14 12.双机热备配置（A/P模式） 15 13.Qos配置 16 14.会话统计和会话控制配置 19 15.IP-MAC地址绑定 20 16.URL过滤配置 21 17.网页内容过滤 22 18. IPSEC VPN配置 24 19.SSL VPN配置 28  SNAT配置 1.1配置步骤： 添加路由（指向外网出口） 添加SNAT策略（指明待转换地址以及装换后地址） 添加安全策略（trust到untrust） 1.2注意点： 注意选择模式： 在配置源NAT的时候，如果选择静态模式的话，源地址一定要和NAT地址数目相同！否则就会出现以下错误！ 1.3验证方法： 内网主机可以通过防火墙访问外网，或者查看NAT转换日志，如果有对应记录就说明成功。  DNAT配置 主要介绍端口复用 2.1配置步骤： 创建目的NAT 创建安全策略（untrust到trust） 2.2注意点： 创建目的NAT以及安全策略时一定要注意源地址和目标地址的填写，不能写反了；做端口复用的时候，一定要知道目标服务的端口号（如：WEB服务为80，远程桌面服务为3389） 2.3验证方法： 通过外网主机可以远程桌面登录到内网映射主机表示实验成功，注意远程桌面端口号为3389. 3.SNAT配置 3.1配置步骤： 添加路由（指向外网出口） 添加SNAT策略（指明待转换地址以及装换后地址） 添加安全策略（trust到untrust） 3.2注意点： 3.3验证方法： 4.透明模式配置 4.1配置步骤 接口类型的配置（l2-trust，l2-untrust） 配置虚拟交换机（vswitch类型为trust） 添加地址薄以及服务对象 配置安全策略 4.2注意点： 添加地址簿时须把地址对象和他所属的vswitch相关联，创建安全策略注意from l2trust to l2utrust 4.3验证方法： 能从trust区域通过服务访问untrust区域而反过来则不行 5.混合模式配置 5.1配置步骤： 定义接口类型（l2untrust，l2dmz） 配置vswitch接口（ip地址和安全域） 设置SNAT策略（内网访问外网用） 添加默认路由 放行策略 5.2注意点： 放行策略是允许外网访问dmz区即from l2untrust to l2dmz 5.3验证方法： 可以从外 网访问dmz，内网可以访问外网 6.Dhcp的配置 6.1操作步骤 设置dhcp地址池 启用dhcp服务，指定dhcp服务的接口 6.2注意点： 设置地址池时须填写网关，开启dhcp服务 6.3验证方法： 将主机设置为动态获取ip地址，并能成功获取 7.Dns代理设置 7.1操作步骤 配置dns服务器地址* 配置dns代理 在接口上启用dns代理服务 7.2注意点： dns服务器地址必须配好；接口上还用启用该应用 7.3验证方法： 用户输入域名后，能够跳转网页，说明代理解析成功 8.Ddns配置 8.1操作步骤 申请动态域名 配置服务器的地址 配置ddns服务 绑定该服务到接口 8.2注意点： 服务器地址须首先配置好；用户名和密码须一一对应 8.3验证方法： 刷新后现实更新ip成功，dos环境下进行域名解析，显示的是接口地址 9.Web认证 9.1操作步骤 开启aaa认证服务 创建aaa服务器 创建用户组和用户，将用户划分到对应的用户组中 创建角色和角色规则，将用户组和角色对应 将角色规则和aaa服务器绑定 创建策略分别为dns，unknown，和用户组 9.2注意点： aaa服务器必须开启；策略的顺序须dns策略，unknown策略，认证后的用户策略！ 9.3验证方法: 输入http地址，出现验证页面，输入用户名和密码，可以跳转到网页 10.负载均衡配置 10.1配置步骤： 配置两条缺省路由（都是指向外网） 添加源NAT策略（两个出口） 添加安全策略（trust-untrust） 10.2注意点： 在配置两条缺省路由的时候，两条缺省路由要等价（优先级相同） 10.3验证方法： 11.源路由配置 11.1配置步骤 设置接口地址，添加安全域（trust，untrust） 添加源路由（内网网段—外网网关） 配置安全策略 11.2注意点： 两个内网地址段一定要与两个网关相关联 11.3验证方法： /24网段通过出去，/24网段通过出去。 12.双机热备配置（A/P模式） 12.1配置步骤